UNIVERSIDAD TECNOLOGICA DE LA REGION NORTE DE GUERRERO

INGENIERIA EN TECNOLOGIAS DE LA

INFORMACION

SEGURIDAD DE LA INFORMACIÓN

GUSANOS INFORMATICOS

PRESENTA:

T.S. U. SANTA EDITH DE LA CRUZ GONZÁLEZ

PROFESOR:

JOSE FERNANDO CASTRO DOMINGUEZ

Octubre, 2011

GUSANOS INFORMATICOS

1

ÍNDICE

PRESENTACION .................................................................................................................................... 2

INTRODUCCION ................................................................................................................................... 3

CAPITULO I. GUSANOS INFORMATICOS .............................................................................................. 4

I.- ¿QUÉ SON LOS GUSANOS INFORMATICOS? ................................................................................... 4

II.- ¿CÓMO FUNCIONAN? .................................................................................................................... 5

III. TIPOS DE GUSANOS ........................................................................................................................ 6

IV. TABLA DE GUSANOS ...................................................................................................................... 9

V.- ¿CÓMO LOS PREVENGO? ............................................................................................................. 13

CONCLUSIONES ................................................................................................................................. 15

GLOSARIO .......................................................................................................................................... 16

BIBLIOGRAFIA .................................................................................................................................... 17

GUSANOS INFORMATICOS

2

PRESENTACION

En esta investigación presento algo con lo cual pretendo informar a los usuarios

que hacen uso de un ordenador a tomar un poco mas de conciencia, importancia y

valoración a lo que debe ser el buen cuidado de un ordenador contra los virus

informáticos, los cuales destruyen todo del computador, en este apartado hablare

acerca de los gusanos informáticos.

Ojala que esta investigación sirva de mucho a las personas que no sabían mucho

acerca del tema y así desde ahora este problema se erradique para un bien social.

GUSANOS INFORMATICOS

3

INTRODUCCION

Partiendo de la base de que muchas veces existe un desconocimiento en un área

de la informática, las soluciones suelen exceder a las necesidades, se concluye

que finalmente los usuarios serán los perjudicados. No es un secreto que a

menudo las fallas incipientes de hardware, los conflictos de software, la instalación

incorrecta de drivers y a veces la inexperiencia del técnico llevan a los servicios de

reparación a culpar a los virus, a veces inexistentes, de los problemas más

insólitos y ayudan a la facturación de servicios alimentados más por el ansia de

ganar una comisión que por el objetivo de fidelizar al cliente para que vuelva una y

otra vez a consultar o comprar.

Cuando un técnico llega a la conclusión de que para solucionar un problema de

virus es necesario el temido formateo con la pérdida total de la información de un

disco, es que realmente debe haber agotado todas y cada una de las instancias

posibles para recuperar la información. Pero si ese paso se da por

desconocimiento o negligencia, el único perjudicado siempre es el usuario final.

Hay una tendencia generalizada en los clientes a creer que aquellos técnicos que

dicen "no sé, debo averiguar", no son de fiar. Y eso lleva a que muchos servicios

técnicos, presionados por mantener una imagen falsa, se apresuren y tomen

decisiones precipitadas y por ende, fatales.

GUSANOS INFORMATICOS

4

CAPITULO I. GUSANOS INFORMATICOS

I.- ¿QUÉ SON LOS GUSANOS INFORMATICOS?

“Los Gusanos Informáticos son programas que realizan copias de sí mismos,

alojándolas en diferentes ubicaciones del ordenador". El objetivo de este malware

suele ser colapsar los ordenadores y las redes informáticas, impidiendo así el

trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan archivos.

Los gusanos son programas que se introducen en los sistemas de cómputo, pero

no infectan archivos. Pueden permanecen ocultos y respondiendo a algunas

acciones de parte del usuario o esperando a que llegue cierta fecha o evento en

especial. Actualmente los virus más recientes son mezcla de virus y gusanos, lo

que muchas veces causa discusión entre los especialistas sobre como

clasificarlos.

Hoy en día los gusanos informáticos al tener la capacidad de replicarse e

infectar al mayor número de usuarios, son muy usados por delincuentes

informáticos para crear las botnets o redes de ordenadores zombis,

principalmente con el fin de lucro, mandando grandes cantidades de SPAM o

también con el objetivo de lanzar ataques de denegación de servicio a

determinados servidores web.

GUSANOS INFORMATICOS

5

II.- ¿CÓMO FUNCIONAN?

El funcionamiento de los virus coincide en sus líneas esenciales con el de los

demás programas ejecutables, toma el control del ordenador y desde allí procede

a la ejecución de aquello para lo que ha sido programado.

Generalmente están diseñados para copiarse la mayor cantidad de veces posible,

bien sobre el mismo programa ya infectado o sobre otros todavía no

contaminados, siempre de forma que al usuario le sea imposible o muy difícil

darse cuenta de la amenaza que está creciendo en su sistema. El efecto que

produce un virus puede comprender acciones tales como un simple mensaje en la

pantalla, disminución de la velocidad de proceso del ordenador o pérdida total de

la información contenida en su equipo.

En la actuación de un virus se pueden distinguir tres fases:

1. El contagio: El contagio inicial o los contagios posteriores se realizan cuando el

programa contaminado está en la memoria para su ejecución. Las vías por las que

puede producirse la infección de su sistema son disquetes, redes de ordenadores

y cualquier otro medio de transmisión de información. Los disquetes son por el

momento, el medio de contagio más extendido en nuestro país. Estos disquetes

contaminantes suelen contener programas de fácil y libre circulación y carecen de

toda garantía. Es el caso de los programas de dominio público, las copias ilegales

de los programas comerciales, juegos, etc.

2. El virus activo: Cuando se dice que un virus se activa significa que el virus

toma el control del sistema, y a la vez que deja funcionar normalmente a los

programas que se ejecutan, realiza actividades no deseadas que pueden causar

daños a los datos o a los programas.

Lo primero que suele hacer el virus es cargarse en la memoria del ordenador y

modificar determinadas variables del sistema que le permiten "hacerse un hueco"

GUSANOS INFORMATICOS

6

e impedir que otro programa lo utilice. A esta acción se le llama "quedarse

residente". Así el virus queda a la espera de que se den ciertas condiciones, que

varían de unos virus a otros, para replicarse o atacar.

La replicación, que es el mecanismo más característico y para muchos expertos

definitorio de la condición de virus, consiste básicamente en la producción por el

propio virus de una copia de si mismo, que se situará en un archivo. El contagio de

otros programas suele ser la actividad que más veces realiza el virus, ya que

cuanto más deprisa y más discretamente se copie, más posibilidades tendrá de

dañar a un mayor número de ordenadores antes de llamar la atención.

3. El ataque: Mientras que se van copiando en otros programas, los virus

comprueban si determinada condición se ha cumplido para atacar, por ejemplo

que sea cinco de enero en el caso del conocido virus Barrotes. Es importante

tener en cuenta que los virus son diseñados con la intención de no ser

descubiertos por el usuario y generalmente, sin programas antivirus, no es

descubierto hasta que la tercera fase del ciclo de funcionamiento del virus se

produce el daño con la consiguiente pérdida de información.

III. TIPOS DE GUSANOS

1.- Gusanos de correo electrónico: Suelen propagarse a través de los mensajes

valiéndose de la utilización de ciertos programas clientes, reenviándose

automáticamente a los contactos de la libreta de direcciones. Algunos de los

gusanos más recientes (SirCam, Nimda, Klez, BugBear), pueden incluso, llegar a

enviarse a cualquier dirección de correo que encuentren en caché, con lo cual, si

en una página visitada se ha incluido una dirección de correo, puede ser utilizada

por el gusano, al tener éste la capacidad de rastrearlas.

GUSANOS INFORMATICOS

7

2.- Gusanos de IRC: Estos se propagan a través de canales de IRC (Chat),

empleando habitualmente para ello al mIRC y al Pirch. En este apartado cabe

recomendar tener precaución con las transferencia que uno acepte.

3.- Gusanos de VBS (Visual Basic Script): Son gusanos escritos o creados en

Visual Basic Script y para su prevención es importante considerar la sugerencia de

hacer visibles todas las extensiones en nuestro sistema (para poder identificar y

rechazar los archivos que vengan con doble extensión, como es el caso de anexos

de correos infectados por SirCam).

4.- Gusanos de Windows 32: Son Gusanos que se propagan a través de las API

(Application Program Interface o Application Programming Interface) de Windows,

las cuales son funciones pertenecientes a un determinado protocolo de Internet.

Las API corresponden al método específico prescrito por un sistema operativo o

por cualquier otra aplicación de aplicación mediante el cual un programador que

escribe una aplicación puede hacer solicitudes al sistema operativo o a otra

aplicación.

Finalmente, cabe mencionar que gusanos como el Nimda, tienen capacidad para

colocar su código en una página Web, propagando la infección con el simple

hecho de que uno la visite sin la protección adecuada (un buen antivirus bien

configurado y debidamente actualizado). Para que esto sea factible, este gusano

aprovecha una falla de seguridad del navegador Internet Explorer (misma que ya

ha sido resuelta por Microsoft), en sus versiones anteriores a la 6.0, lo cual le

permite accionarse automáticamente al entrar a la página infectada o al ver el

mensaje de correo.

Los archivos con las siguientes extensiones, en particular, tiene más posibilidades

de estar infectados:

386, ACE, ACM, ACV, ARC, ARJ, ASD, ASP, AVB, AX, BAT, BIN, BOO, BTM,

CAB, CLA, CLASS, CDR, CHM, CMD, CNV, COM, CPL, CPT, CSC, CSS, DLL,

DOC, DOT DRV, DVB, DWG, EML, EXE, FON, GMS, GVB, HLP, HTA, HTM,

HTML, HTA, HTT, INF, INI, JS, JSE, LNK, MDB, MHT, MHTM, MHTML, MPD,

MPP, MPT, MSG, MSI, MSO, NWS, OBD, OBJ, OBT, OBZ, OCX, OFT, OV?, PCI,

GUSANOS INFORMATICOS

8

PIF, PL, PPT, PWZ, POT, PRC, QPW, RAR, SCR, SBF, SH, SHB, SHS, SHTML,

SHW, SMM, SYS, TAR.GZ, TD0, TGZ, TT6, TLB, TSK, TSP, VBE, VBS, VBX,

VOM, VS?, VWP, VXE, VXD, WBK, WBT, WIZ, WK?, WPC, WPD, WML, WSH,

WSC, XML, XLS, XLT, ZIP

Los gusanos actuales se propagan principalmente por correo electrónico con

archivos anexados y disfrazados, con el objeto de engañar al usuario a que los

ejecute y así empiece el proceso de infección y reproducción. Por ejemplo un

gusano puede llegar a su correo electrónico con un mensaje:

Fig. 1.- Foto.jpg.exe

Nótese que el gusano anexado tiene doble extensión para confundir al usuario

“foto.jpg.exe”. En ordenadores que tienen activado “ocultar las extensiones del

archivo para tipos de archivos conocidos” sólo se mostrará “foto.jpg” y el usuario

pensando que se trata de un archivo legitimo lo puede ejecutar.

Fig. 2.- Chat

Como se puede apreciar el figura 2 son gusanos que se utilizan frecuentemente

los programas de mensajería instantánea como “Windows Live Messenger”,

“Yahoo Messenger” y similares con links infectados usando el mismo método de

persuasión.

GUSANOS INFORMATICOS

9

De igual forma los gusanos pueden estar programados para hacerse pasar por

archivos de música “Te envió esta canción: track1.mp3.com”, documentos “Te

envió el documento que me solicitaste; documento.doc.vbs”, videos

“video.mpg.bat”, etc., y a veces estos enlaces pueden estar disfrazados para que

no sean detectados a simple vista.

IV. TABLA DE GUSANOS

GUSANOS INFORMÁTICOS

NOMBRE: COMO OPERA: COMO PREVENIRLO:

ILOVEYOU (VBS/Loveletter o Love Bug worm)

Es un virus de tipo gusano, escrito en Visual Basic Script que se propaga a través de correo electrónico y de IRC (Internet Relay Chat).

Para evitar los efectos del I love you es necesario elaborar un parche, programa informático que se aplica sobre otro que, instalado en el servidor de correo, sea capaz de reconocer la firma del virus y frenarlo.

Blaster (Lovsan o Lovesan)

El gusano LovSan / Blaster está programado para analizar una cantidad aleatoria de direcciones IP en busca de sistemas vulnerables a la falla del RPC en el puerto 135.

se recomienda encarecidamente instalar un firewall personal en las máquinas que estén conectadas a Internet, y también filtrar los puertos TCP/69, TCP/135 a TCP/139 y TCP/4444 y mantener actualizado el sistema operativo.

Sobig Worm Gusano de envío masivo de correo cuya propagación se realiza a todas las direcciones electrónicas encontradas dentro de los ficheros de extensiones: .txt, .eml, .html, .htm, .dbx, y .wab.

Si dispone de herramientas de filtrado, configúrelas para que rechacen los mensajes que cumplan las características mencionadas en el

GUSANOS INFORMATICOS

10

El correo en el que se propaga el gusano parece como si fuese enviado por ”big@boss.com”.

apartado Método de propagación.

Instale y configure un firewall, para bloquear el acceso no autorizado de los puertos mencionados, particularmente el acceso remoto al puerto UDP 8998.

Instale un buen antivirus en su ordenador.

Mantenga su antivirus actualizado. Si admite actualizaciones automáticas, configúrelas para que funcionen siempre así.

Tenga activada la protección permanente de su antivirus en todo momento.

Code Red Este virus al atacar configuraciones más complejas, que no son implementadas por el usuario final, tuvo menor impacto que el Sircam. Cabe destacar las 2 mutaciones basadas en este virus que circulan por Internet, Codered.C y el Codered.D, que utilizan su misma técnica variando su carga destructiva.

Es importante que los administradores de sistemas Windows con Internet Information Server apliquen el parche publicado en el boletín de seguridad de Microsoft MS01-033 para evitar el ataque de este gusano.

Klez Este virus explota una vulnerabilidad en el Internet Explorer por la cual es capaz de autoejecutarse con solo visualizar el correo

Si utiliza Outlook Express y con el fin de evitar la infección le recomendamos que desactive la vista previa. Este gusano utiliza una

GUSANOS INFORMATICOS

11

electrónico en el que llega como adjunto. El virus es capaz de impedir el arranque del sistema y de inutilizar ciertos programas.

vulnerabilidad de Internet Explorer, ya utilizada por otros gusanos, consistente en permitir la ejecución de ficheros adjuntos de forma automática al abrir un mensaje de correo electrónico, o simplemente, al verlo a través de la vista previa de Outlook Express.

Melissa (”Mailissa”, “Simpsons”, “Kwyjibo”, o “Kwejeebo”)

Este virus infecta a MS Word y éste a todos los archivos que se abren, cambia ciertas configuraciones para facilitar la infección, se auto-envía por correo, como un mensaje proveniente del usuario a los primeros 50 buzones de la libreta de direcciones de su correo.

La nueva versión de Melissa puede identificarse mediante el Asunto del archivo que lo contiene: "Important message from USERNAME"

Sasser (Big One) Gusano que para propagarse a otros equipos, aprovecha la vulnerabilidad en el proceso LSASS (Local Security Authority Subsystem). Sólo afecta a equipos Windows 2000/XP y Windows Server 2003 sin actualizar. Los síntomas de la infección son: Aviso de reinicio del equipo en 1 minuto y tráfico en los puertos TCP 445, 5554 y 9996.

Instalar el parche de Microsoft para verse afecta por el gusano Sasser.

Bagle (Beagle) Gusano que se difunde mediante el envió masivo de correo electrónico a

Se recomiendan pasar un programa antivirus y actualizar el software de

GUSANOS INFORMATICOS

12

direcciones que captura de diversos ficheros en la máquina infectada. Utiliza un truco de ingeniería social muy simple pero efectiva, consistente en hacerse pasar por un mensaje de prueba con un fichero adjunto que usa el icono de la calculadora de Windows, lo que parece que hace pensar a las víctimas que es inofensivo.

seguridad que se tenga instalado.

Nimda Gusano troyano que emplea tres métodos de propagación diferentes: a través del correo electrónico, carpetas de red compartidas o servidores que tengan instalado IIS (empleando el “exploit” Web Directory Traversal). Descarga en el directorio C:\Windows\Temp un fichero (meXXXX.tmp.exe, un correo en el formato EML) que contiene el fichero que será enviado adjunto por el gusano.

Existe un parche de actualización de seguridad para evitar éste accionar, pero sigue siendo una constante entre los administradores de los servidores de no actualizar su software.

GUSANOS INFORMATICOS

13

V.- ¿CÓMO LOS PREVENGO?

Buena parte de los virus informáticos y otro software malintencionados se

propagan a través de los archivos que se envían adjuntos a los mensajes de

correo electrónico. Si un archivo adjunto a un mensaje de correo electrónico

contiene un virus, lo normal es que se inicie cuando el usuario abre el archivo (por

lo general, mediante un doble clic en el icono del archivo adjunto).

Independientemente del programo de correo electrónico que utilice o de la versión

de Windows que se ejecute, existe la posibilidad de evitar algunos virus si se

siguen determinadas reglas básica. Si utilizas las versiones mas recientes de

Outlook u Outlook Express y de Windows, puede aprovechar algunas mejores y

opciones de configuración predeterminadas que le ayudaran a evitar que su

equipo se vea infectado accidentalmente por un virus.

Cinco sugerencias sobre los correos electrónicos:

1. No abras ningún mensaje o descargues archivos de alguien que te lo

mande sin saber quien es.

2. Si recibiste un correo con un archivo y dice que el remitente es desconocido

no lo abras y solo elimínalo.

3. Utiliza antivirus antispyware escaneadores todo para que no se metan en tu

computadora.

4. Si mandas un correo adjunto prevenlo de que no es un virus.

5. Utilizar filtros contra correos no deseado.

GUSANOS INFORMATICOS

14

Siete recomendaciones sobre el equipo de cómputo y descargas para prevenir el

ataque los gusanos informáticos:

1. Tener sistema operativo actualizado

2. Tener un antivirus y firewall instalados

3. Monitoreo de puertos

4. Precaución al abrir archivos de internet

5. Analizar las descargas

6. Descargar en paginas oficiales o sitios de confianza

7. Concientización de los usuarios que hacen uso de los sistemas informáticos

GUSANOS INFORMATICOS

15

CONCLUSIONES

Los ataques informáticos se están convirtiendo en un problema de impredecibles

consecuencias económicas para las empresas de todo el mundo. Los malwares

son cada vez más sofisticados y dañinos, están aprovechando las facilidades que

presentan el Internet y los fallos de seguridad de algunos programas informáticos

para infectar a un gran número de ordenadores en todo el mundo.

Internacionalmente se cuenta con Ingenieros y Especialistas en esta rama con un

alto nivel de profesionalidad .Que trabajan arduamente para prevenir y

contrarrestar los daños que pudieran ocasionar estos "intrusos" al invadir la PC.

Con la realización de esta investigación se amplió los conocimientos sobre la

existencia y los ataques de los Gusanos Informáticos. Evidenciándose solamente

la punta del iceberg del problema. Además cabe destacar, la gran importancia que

tiene este tema para la humanidad y su necesidad de difusión, con el objetivo de

prevenir catástrofes en el futuro en el mundo de las tecnologías de la información.

Para finalizar se puede añadir que se ha cumplido con todos los objetivos trazados

en la investigación de los Gusanos Informáticos, esperando que sea utilizado

como material informativo y de consulta para todas aquellas personas interesadas

en el tema.

GUSANOS INFORMATICOS

16

GLOSARIO

PC: Acrónimo de Personal Computer. Se utiliza para designar los ordenadores

o computadoras personales.

IP: Internet Protocol, Protocolo de Internet. Es el soporte lógico básico

empleado para controlar este sistema de redes.

HTML: Acrónimo de Hyper Text Markup Lenguage, Lenguaje de Marcas de

Hipertexto .En informática, formato estándar de los documentos que circulan

en (WWW).

WWW: World Wide Web. También conocido como Web. Mecanismo proveedor

de información el electrónica, para usuarios conectados a Internet.

SMTP: Simple Mail Transfer Protocol, Protocolo Simple de Transferencia de

Correos .Protocolo mas usado en Internet para el envío de mensajes de

correos electrónicos.

GUSANOS INFORMATICOS

17

BIBLIOGRAFIA

http://www.pandasecurity.com/spain/enterprise/security-info/classic-malware/worm/

http://www.tutorialenred.com/gusano-informatico

http://www.slideshare.net/Joze1407/los-virus-informaticos-1915453/download

http://www.slideshare.net/kandy149/tipos-de-virus-y-gusanos-informaticos/download

http://www.seguridadpc.net/gusanos.htm

http://www.seguridadpc.net/antivirus.htm

http://www.psicofxp.com/forums/seguridad-informatica.47/547509-evitar-troyanos-virus-y-

gusanos-informaticos.html

http://techtastico.com/post/virus-gusanos-devastadores/

http://www.emprendedoras.com/articulo_402_gusanos-informaticos

http://www.elmundo.es/navegante/2000/05/05/ailofiu_virus.html

http://seguridad.cudi.edu.mx/files/virinfo021.pdf

http://www.pandasecurity.com/spain/homeusers/support/card?id=11&idIdioma=1&ref=WpaVirE

nciclopedia